Citrix Endpoint Management

NetScaler Gateway y Citrix Endpoint Management

Cuando se integra en Citrix Endpoint Management, NetScaler Gateway proporciona un mecanismo para que los dispositivos accedan de manera remota a la red interna y a los recursos. Porque Citrix Endpoint Management crea una micro VPN que se extiende desde las aplicaciones presentes en el dispositivo hasta NetScaler Gateway.

Puede utilizar Citrix Gateway Service (Tech Preview) o un dispositivo NetScaler Gateway local, también conocido como NetScaler Gateway. Para obtener información general sobre las dos soluciones de NetScaler Gateway, consulte Configurar el uso de NetScaler Gateway con Citrix Endpoint Management.

Configurar la autenticación para el acceso de dispositivos remotos a la red interna

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  2. En Servidor, haga clic en NetScaler Gateway. Aparecerá la página NetScaler Gateway. En el siguiente ejemplo, existe una instancia de NetScaler Gateway.

    Pantalla de configuración de NetScaler Gateway

  3. Configure estos parámetros:

    • Autenticación: Seleccione si quiere habilitar la autenticación. De forma predeterminada, está activado.
    • Entregar certificado de usuario para autenticación: Seleccione si quiere que Citrix Endpoint Management comparta el certificado de autenticación con Citrix Secure Hub. Compartir el certificado permite a NetScaler Gateway gestionar la autenticación de certificado del cliente. De forma predeterminada, está desactivado.
    • Proveedor de credenciales: en la lista desplegable, haga clic en el nombre del proveedor de credenciales. Para obtener más información, consulte Proveedores de credenciales.
  4. Haga clic en Guardar.

Agregar una instancia de Citrix Gateway Service (Tech Preview)

Después de guardar los parámetros de autenticación, puede agregar una instancia de NetScaler Gateway a Citrix Endpoint Management.

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Se abrirá la página Parámetros.

  2. En la página Parámetros, vaya al mosaico de NetScaler Gateway y, a continuación, haga clic en Iniciar configuración. Aparecerá la página NetScaler Gateway.

  3. Seleccione Citrix Gateway Service (nube) y especifique la ubicación del recurso.

    Pantalla de configuración de NetScaler Gateway

    • Ubicación del recurso para Gateway Service: Se necesita si utiliza Citrix Secure Mail. Especifique la ubicación del recurso para el servicio STA. La ubicación del recurso debe incluir un dispositivo NetScaler Gateway configurado. Si más adelante quiere quitar la ubicación de un recurso configurada para Gateway Service, actualice este parámetro.

    Después de completar esa configuración, haga clic en Conectar para establecer la conexión. Se agregar el nuevo NetScaler Gateway. El icono de Citrix Gateway Service (nube) aparecerá en la página Parámetros. Para modificar una instancia, haga clic en Ver más. Si los Gateway Connectors no están disponibles en la ubicación de recursos seleccionada, haga clic en Agregar Gateway Connector. Siga las instrucciones en pantalla para instalar Gateway Connectors. También puede agregar Gateway Connectors más tarde.

  4. Haga clic en Guardar y exportar script.

    • Guardar y exportar script. Haga clic en el botón para guardar los parámetros y exportar un paquete de configuración. Puede cargar un script desde el paquete en NetScaler Gateway para configurarlo con los parámetros de Citrix Endpoint Management. Para obtener información, consulte “Configurar un NetScaler Gateway local para usarlo con Citrix Endpoint Management” más adelante en este artículo.

    Ha agregado el nuevo NetScaler Gateway. El icono de NetScaler Gateway aparecerá en la página Parámetros. Para modificar una instancia, haga clic en Ver más.

Configurar un NetScaler Gateway local para usarlo con Citrix Endpoint Management

Para configurar un NetScaler Gateway local y usarlo con Citrix Endpoint Management, realice los pasos generales descritos en las secciones siguientes.

  1. Compruebe que su entorno cumple los requisitos previos.

  2. Exporte el paquete del script desde la consola de Citrix Endpoint Management.

  3. Extraiga los archivos del paquete. Si solo utiliza directivas clásicas en NetScaler Gateway y está ejecutando Citrix ADC 13.0 o una versión anterior, utilice el script que indica “Classic” en el nombre de archivo. Si utiliza alguna directiva avanzada o está ejecutando Citrix ADC 13.1 o una versión posterior, utilice el script que indica “Advanced” en el nombre de archivo.

  4. Ejecute el script correspondiente en el dispositivo NetScaler Gateway. Consulte el archivo Léame suministrado con los scripts para ver instrucciones detalladas actualizadas.

  5. Pruebe la configuración.

Los scripts configuran los parámetros de NetScaler Gateway que necesita Citrix Endpoint Management:

  • Servidores virtuales de NetScaler Gateway necesarios para MAM y MDM
  • Directivas de sesión para los servidores virtuales de NetScaler Gateway
  • Detalles del servidor de Citrix Endpoint Management
  • Equilibrador de carga proxy para la validación de certificados
  • Acciones y directivas de autenticación para el servidor virtual NetScaler Gateway. Los scripts describen los parámetros de configuración de LDAP.
  • Directivas y acciones de tráfico de red para el servidor proxy
  • Perfil de acceso sin cliente
  • Registro DNS local estático en NetScaler Gateway
  • Otros enlaces: directiva de servicio, certificado de CA

Los scripts no se ocupan de la siguiente configuración:

  • Equilibrio de carga de Exchange
  • Equilibrio de carga de Citrix Files
  • Configuración del proxy ICA
  • Descarga de SSL

Requisitos previos para utilizar los scripts de configuración de NetScaler Gateway

Requisitos de Citrix Endpoint Management:

  • Complete la configuración de LDAP y NetScaler Gateway en Citrix Endpoint Management antes de exportar el paquete del script. Si cambia la configuración, vuelva a exportar el paquete del script.

Requisitos de NetScaler Gateway:

  • Al utilizar la autenticación por certificados en el dispositivo NetScaler Gateway, debe crear certificados SSL en un dispositivo Citrix ADC. Consulte Crear y utilizar certificados SSL en un dispositivo Citrix ADC.
  • NetScaler Gateway (como mínimo la versión 11.0, compilación 70.12).
  • La dirección IP de NetScaler Gateway está configurada y tiene conectividad con el servidor LDAP, a menos que LDAP tenga la carga equilibrada.
  • La dirección IP de subred (SNIP) de NetScaler Gateway está configurada, tiene conectividad con los servidores back-end necesarios y tiene acceso de red pública por el puerto 8443/TCP.
  • DNS puede resolver dominios públicos.
  • NetScaler Gateway tiene las licencias Platform/Universal o Trial. Para obtener información, consulte https://support.citrix.com/article/CTX126049.

Exportar el paquete del script desde Citrix Endpoint Management

Después de guardar los parámetros de autenticación, puede agregar una instancia de NetScaler Gateway a Citrix Endpoint Management.

  1. En la consola de Citrix Endpoint Management, haga clic en el icono con forma de engranaje situado en la esquina superior derecha. Se abrirá la página Parámetros.

  2. En la página Parámetros, vaya al mosaico de NetScaler Gateway y, a continuación, haga clic en Iniciar configuración. Aparecerá la página NetScaler Gateway.

  3. Seleccione NetScaler Gateway (local) y configure estos parámetros:

    Pantalla de configuración de NetScaler Gateway

    • Nombre: Escriba un nombre para la instancia de NetScaler Gateway.
    • URL externa: Escriba la URL de acceso público de NetScaler Gateway. Por ejemplo, https://receiver.com.
    • Tipo de inicio de sesión: Haga clic en un tipo de inicio de sesión. Los tipos pueden ser: Dominio, Solo token de seguridad, Dominio y token de seguridad, Certificado, Certificado y dominio y Certificado y token de seguridad. El valor predeterminado es Dominio.

    Si dispone de varios dominios, use Certificado y dominio. Para obtener más información, consulte Configurar la autenticación para varios dominios.

    La autenticación por certificados en el dispositivo NetScaler Gateway requiere una configuración adicional. Por ejemplo, debe cargar el certificado de CA raíz en el dispositivo Citrix ADC. Consulte Crear y utilizar certificados SSL en un dispositivo Citrix ADC.

    Para obtener más información, consulte Authentication en Deployment Handbook.

  4. Haga clic en Guardar y exportar script.

    • Guardar y exportar script. Haga clic en el botón para guardar los parámetros y exportar un paquete de configuración. Puede cargar un script desde el paquete en NetScaler Gateway para configurarlo con los parámetros de Citrix Endpoint Management. Para obtener información, consulte “Configurar un NetScaler Gateway local para usarlo con Citrix Endpoint Management” más adelante en este artículo.

    Ha agregado el nuevo NetScaler Gateway. El icono de NetScaler Gateway aparecerá en la página Parámetros. Para modificar una instancia, haga clic en Ver más.

Instalar el script en el entorno

El paquete del script incluye lo siguiente:

  • Un archivo Léame con instrucciones detalladas
  • Scripts que contienen los comandos de interfaz de línea de comandos de NetScaler que se usan para configurar los componentes necesarios en NetScaler
  • Certificado de CA raíz público y certificado de CA intermedio
  • Scripts que contienen los comandos de interfaz de línea de comandos de NetScaler necesarios para quitar la configuración de NetScaler
  1. Cargue e instale los archivos de certificado (proporcionados en el paquete del script) en el dispositivo Citrix ADC, en el directorio /nsconfig/ssl/. Consulte Crear y utilizar certificados SSL en un dispositivo Citrix ADC.

    Pantalla de configuración de NetScaler Gateway

    En los siguientes ejemplos se muestra cómo instalar el certificado raíz.

    Pantalla de configuración de NetScaler Gateway

    Pantalla de configuración de NetScaler Gateway

    Pantalla de configuración de NetScaler Gateway

    Pantalla de configuración de NetScaler Gateway

    Debe instalar tanto el certificado raíz como el certificado intermedio.

  2. Modifique el script (ConfigureCitrixGatewayScript_Classic.txt o ConfigureCitrixGatewayScript_Advanced.txt) para reemplazar todos los marcadores de posición con detalles de su entorno.

    Pantalla de configuración de NetScaler Gateway

  3. Ejecute el script modificado en el bash shell de NetScaler, como se describe en el archivo Léame incluido en el paquete del script. Por ejemplo:

    /netscaler/nscli -U :<NetScaler Management Username>:<NetScaler Management Password> batch -f "/var/OfflineNSGConfigtBundle_CREATESCRIPT.txt"

    Pantalla de configuración de NetScaler Gateway

    Cuando el script se complete, aparecerán las siguientes líneas.

    Pantalla de operación correcta de NetScaler Gateway

Probar la configuración

Para validar la configuración:

  1. Compruebe que el servidor virtual NetScaler Gateway muestra el estado operativo (UP).

    Pantalla de estado de NetScaler Gateway

  2. Compruebe que el servidor virtual de equilibrio de carga proxy muestra el estado operativo (UP).

    Pantalla de estado de NetScaler Gateway

  3. Abra un explorador web, conéctese a la URL de NetScaler Gateway e intente autenticarse. Si la autenticación tiene éxito, se le redirigirá a un mensaje de página no encontrada: “HTTP Status 404 - Not Found” .

  4. Inscriba un dispositivo y compruebe que obtiene la inscripción en MDM y MAM.

Configurar la autenticación para varios dominios

Si tiene varias instancias de Citrix Endpoint Management (por ejemplo, para entornos de prueba, desarrollo y producción) debe configurar manualmente NetScaler Gateway para los entornos adicionales (puede usar el asistente de NetScaler para XenMobile solamente una vez).

Configuración de NetScaler Gateway

Para configurar las directivas de autenticación de NetScaler Gateway y una directiva de sesión para un entorno de varios dominios:

  1. En la herramienta de configuración de NetScaler Gateway, en la ficha Configuración, expanda NetScaler Gateway > Directivas > Autenticación.
  2. En el panel de navegación, haga clic en LDAP.
  3. Haga clic para modificar el perfil de LDAP. Cambie el Atributo de nombre de inicio de sesión del servidor a userPrincipalName o al atributo que quiera utilizar para las búsquedas. Tome nota del atributo que especifique. Proporciónelo cuando configure las opciones de LDAP en la consola de Citrix Endpoint Management.

    Pantalla de configuración de NetScaler Gateway

  4. Repita estos pasos para cada directiva de LDAP. Se requiere una directiva de LDAP diferente para cada dominio.
  5. En la directiva de sesión vinculada al servidor virtual de NetScaler Gateway, vaya a Modificar perfil de sesiones > Aplicaciones publicadas. Compruebe que la opción Single Sign-On Domain está en blanco.

Configurar Citrix Endpoint Management

Si quiere configurar LDAP para un entorno de Citrix Endpoint Management de varios dominios:

  1. En la consola de Citrix Endpoint Management, vaya a Parámetros > LDAP y agregue o modifique un directorio.

    Pantalla de parámetros LDAP en Citrix Endpoint Management

  2. Proporcione la información correspondiente.

    • En Alias de dominio, especifique los dominios que se utilizarán para la autenticación de usuarios. Separe los dominios con una coma y no introduzca espacios entre ellos. Por ejemplo: dominio1.com,dominio2.com,dominio3.com

    • Asegúrese de que el campo Buscar usuarios por coincide con el valor de Server Logon Name Attribute especificado en la directiva LDAP de NetScaler Gateway.

    Pantalla de parámetros LDAP en Citrix Endpoint Management

Descartar solicitudes de conexión entrantes a direcciones URL específicas

Si NetScaler Gateway en su entorno está configurado para la descarga de SSL, puede que prefiera que la puerta de enlace descarte las solicitudes de conexión entrantes para direcciones URL específicas. Si prefiere esa seguridad adicional, contacte con Citrix Cloud Operations y solicite que incluyan su IP en sus centros de datos locales.